これは絶対に防げない!!
防げないマルウェア
2022年3月15日、16日、17日で急速に広がったEMOTET(エモテット)マルウェアです。
今、福岡で爆発的に感染が流行していると思いますよ。
こんな添付で奴らはやってきます。
小さくビジネスをやっている私のところのユーザーまで感染していますので、かなりのスピードで中小、零細企業に感染していると思います。
2,3社、検閲してきましたので、分かったことをアップします。
感染したら何をする?
これ重要です。
警視庁のサイトにありますので、絶対これやってください。
私のユーザーに指示したら、早速、ファックスが送られてきました(迷惑をかけたユーザー全部にファックス送信しています。(注意喚起です)
以上
私の初動対応と対策
感染したな?と思った時や、被害者が出た時などはいろいろ調べて私なりに下記をしました。
恐らく、どれも同じと思いますが、私の場合は「初動対応」と「対策」に分けています。
初動対応
①感染したPCを特定できれえばLANケーブルと抜く
②設定あるいはネットワーク上で不信な動きをしているメールアドレスのPW変更をする(pop before smtpなのでsmtpを乗っ取られないようにブロックします)
③アドレス帳及び直近やり取りしているメールのユーザーへ至急電話を入れ、こちらのメールは削除してもらうように連絡する(必要であれば全取引先にファックスでの注意喚起を行う)
④ネットワークに繋がるPCを下記チェックツールでチェックし、ウィルスワクチンソフトで「フルスキャン」を行う
対策
①感染PCは初期化で再構築する
②windows アップデート及びワクチンソフトの最新版をダウンロード
③不信なメールに関して社内で情報共有する
私は専門家でありませんが、この手のマルウェアの駆除は初期化しかないと思いますね。
どんなに賢いワクチンソフトがあってもトロイの木馬型を駆除するには限界があります。
残骸が残っているとマルウェアがさらにダウンローダーを呼びますので、常時接続の現在社会では初期化しかありません。
3日間でいろいろ調べた結果から言えば、windowsアップデートがポイントで、windowsが古いとワクチンソフト入れていても、あまり効果がないことがわかりました。
windows とワクチンソフトを常に最新にしておくことが、最大の防御だと思いますね。
詳しくはIPAサイトをご覧ください。
エモテットとは
さて、エモテット(EMOTET)とは従来型のメールアドレスだけ盗み取っていたマルウェアとは異なり、AI機能が入った最新型マルウェアです。
しかもコロナと同じように進化/変異しているみたいですね。
1年前に流行ったと思ったのですが、さらに流行りだしてきていますが、今回調べたのは最新っぽいような気がしますね。
コロナで言えばオミクロンと同じです?
検体とってオフラインで実験しました。
実験
毎回同じですが、ウィルスバスター VS Windows Defenderです。
長くなりますので、要点だけアップしますが、windowsのアップデートが最新でない場合はwindows Defenderは駆除できていません。
これは要注意です。
感染したPCでエモテットのチェックツールを動かします。(感染しています)
ウィルスバスター
同PCでウィルスバスターでチェックします。
スルーします。
これはwindows 10が最新でないPCです。
最新の場合はウィルスバスターがチェックできます。
Windows Defender
取り敢えず、ブロックしました。
Defebderであればwindowsが古くても駆除できたみたいです。(これが不思議???)